Serangan Supply Chain Trivy: Build GitHub Disusupi, Infostealer Curi Kredensial Cloud dan Developer

Sebuah insiden keamanan serius menargetkan proyek open-source Trivy, ketika pelaku ancaman berhasil menyusupi proses build di GitHub dan mendistribusikan pembaruan berbahaya yang menyisipkan malware jenis infostealer. Serangan ini diklasifikasikan sebagai supply chain attack, di mana pelaku tidak langsung menyerang target akhir, melainkan memanfaatkan jalur distribusi perangkat lunak untuk menyebarkan payload berbahaya ke pengguna yang mempercayai sumber resmi.

Dalam insiden ini, pelaku mendorong tag berbahaya yang menyertakan tautan ke binary payload yang belum dianalisis sepenuhnya. Namun, indikator awal menunjukkan bahwa payload tersebut dirancang untuk mencuri informasi sensitif dari lingkungan pengembangan maupun pipeline otomatis. Hingga detail lengkap tersedia, insiden ini diperlakukan sebagai ancaman dengan tingkat kritis mengingat potensi dampaknya yang luas terhadap pengguna Trivy, termasuk organisasi yang mengandalkan alat tersebut dalam proses keamanan aplikasi.

Salah satu teknik yang digunakan dalam serangan ini adalah pembuatan domain tiruan yang menyerupai domain resmi. Pelaku menggunakan domain scan[.]aquasecurtiy[.]org, yang secara visual sangat mirip dengan domain milik Aqua Security. Dari domain tersebut, proses build yang telah dikompromikan menarik empat file berbahaya berbasis Golang. Teknik typosquatting seperti ini sering kali berhasil karena perbedaan kecil pada penulisan domain sulit dikenali secara cepat, terutama dalam proses otomatis seperti CI/CD.

Malware yang disisipkan dalam rantai serangan ini diidentifikasi oleh pelaku sebagai “TeamPCP Cloud stealer”. Fungsinya tidak berhenti pada satu tahap. Setelah dijalankan, malware mencoba mengambil payload tambahan dari domain lain yang juga berada di bawah kendali pelaku. Jika upaya tersebut gagal, malware akan beralih ke endpoint alternatif untuk mendapatkan instruksi atau payload tambahan, menunjukkan adanya mekanisme redundansi dalam infrastruktur command and control.

Kemampuan utama malware ini terletak pada pengumpulan kredensial dan data sensitif. Dalam lingkungan CI/CD, malware memanfaatkan akses ke proses runner dengan membaca memori dari Runner.Worker melalui jalur /proc/<pid>/mem. Teknik ini memungkinkan ekstraksi data yang sedang diproses, termasuk token, kunci API, dan kredensial lainnya yang biasanya hanya tersedia di memori selama runtime. Selain itu, malware juga melakukan pemindaian sistem file untuk mencari kunci SSH, kredensial cloud seperti AWS, GCP, dan Azure, token Kubernetes, serta dompet cryptocurrency. Lebih dari 50 jalur file sensitif menjadi target dalam proses ini.

Serangan tidak terbatas pada pipeline otomatis. Versi binary Trivy yang telah dimodifikasi, khususnya versi 0.69.4, juga dirancang untuk mencuri data dari mesin developer. Binary tersebut mengumpulkan variabel lingkungan, memetakan antarmuka jaringan, dan mengekstrak informasi yang dapat digunakan untuk eskalasi serangan lebih lanjut. Hal ini memperluas cakupan dampak dari sekadar lingkungan build menjadi endpoint individu yang digunakan oleh pengembang.

Data yang berhasil dikumpulkan tidak langsung dikirim dalam bentuk mentah. Malware menggunakan skema enkripsi hybrid yang menggabungkan AES-256-CBC dan RSA-4096 untuk mengamankan data sebelum dikirim ke server command and control. Data tersebut dikemas dalam arsip bernama tpcp.tar.gz dan dikirim ke domain yang telah ditiru sebelumnya. Pendekatan ini menunjukkan tingkat perencanaan yang matang, karena data yang dienkripsi sulit dianalisis jika tertangkap dalam lalu lintas jaringan.

Menariknya, varian malware yang berjalan di GitHub Actions memiliki metode eksfiltrasi tambahan yang tidak lazim. Alih-alih hanya mengirim data ke server eksternal, malware dapat mengunggah data yang dicuri ke repository dalam akun GitHub korban, dengan nama tpcp-docs. Teknik ini memanfaatkan kredensial yang sudah tersedia di runner, sehingga tidak memerlukan koneksi keluar yang mencurigakan. Pendekatan ini juga menyulitkan deteksi karena aktivitas terlihat seperti operasi normal dalam konteks GitHub.

Selain pencurian data, malware juga memiliki mekanisme persistensi ketika dijalankan di luar lingkungan CI/CD. Pada mesin developer, malware menjatuhkan skrip Python ke dalam direktori konfigurasi pengguna dan mendaftarkannya sebagai unit systemd agar dapat berjalan secara terus-menerus. Skrip ini secara berkala menghubungi server command and control untuk mengambil payload tambahan, memungkinkan pelaku mempertahankan akses jangka panjang ke sistem yang telah terinfeksi.

Insiden ini menyoroti risiko inheren dalam rantai pasok perangkat lunak, terutama pada proyek open-source yang digunakan secara luas dalam pipeline keamanan dan DevOps. Ketika alat yang dirancang untuk meningkatkan keamanan justru menjadi vektor serangan, dampaknya dapat meluas dengan cepat ke berbagai organisasi yang mengandalkan alat tersebut dalam proses otomatis mereka.

Dari sudut pandang operasional, serangan ini memperlihatkan bagaimana kombinasi beberapa teknik typosquatting domain, kompromi pipeline build, pencurian kredensial dari memori, serta eksfiltrasi data terenkripsi dapat digabungkan menjadi satu rantai serangan yang efektif. Kompleksitas ini juga menyulitkan deteksi dini, terutama jika organisasi tidak memiliki visibilitas penuh terhadap aktivitas dalam pipeline CI/CD mereka.

Bagi praktisi keamanan, insiden ini menjadi pengingat bahwa kepercayaan terhadap sumber resmi harus tetap diimbangi dengan verifikasi tambahan. Validasi checksum binary, pembatasan akses kredensial dalam pipeline, serta pemantauan aktivitas anomali di lingkungan build menjadi langkah penting untuk mengurangi risiko serupa. Sementara itu, bagi developer, penting untuk memahami bahwa alat yang digunakan dalam proses pengembangan juga dapat menjadi target serangan.

Serangan terhadap Trivy ini memperlihatkan bahwa supply chain bukan lagi target sekunder, melainkan jalur utama bagi pelaku ancaman untuk menjangkau banyak korban sekaligus. Dengan memanfaatkan satu titik distribusi, pelaku dapat menyebarkan malware ke berbagai lingkungan tanpa perlu menargetkan masing-masing sistem secara langsung. Dalam konteks ini, keamanan pipeline dan integritas build menjadi komponen krusial yang tidak dapat diabaikan.

Celah Kritis pyLoad Buka Jalan RCE Tanpa Autentikasi: Analisis Bug storage_folder dan Risiko Session Poisoning

Kerentanan baru pada aplikasi manajemen unduhan pyLoad mengungkap kelemahan serius yang memungkinkan eksekusi kode arbitrer tanpa autentikasi melalui mekanisme yang tidak biasa, yaitu manipulasi direktori penyimpanan dan penyalahgunaan sistem sesi berbasis filesystem. Celah ini merupakan kelanjutan dari perbaikan yang tidak lengkap terhadap kerentanan sebelumnya, CVE-2026-33509, dan menunjukkan bagaimana kontrol akses yang tidak komprehensif dapat membuka jalur eksploitasi baru yang signifikan.

Masalah utama berakar pada opsi konfigurasi bernama storage_folder yang tidak dimasukkan dalam daftar parameter sensitif yang dibatasi hanya untuk admin. Dalam implementasi sebelumnya, pengembang telah memperkenalkan mekanisme pembatasan melalui sebuah set bernama ADMIN_ONLY_OPTIONS untuk mencegah pengguna non-admin mengubah konfigurasi kritikal. Namun, storage_folder tidak termasuk dalam daftar tersebut. Akibatnya, pengguna dengan kombinasi izin tertentu masih dapat mengubah lokasi penyimpanan file unduhan tanpa pembatasan yang memadai.

Dalam konteks ini, eksploitasi membutuhkan seorang pengguna non-admin yang memiliki dua jenis izin, yaitu SETTINGS dan ADD. Kedua izin ini bersifat independen dan dapat diberikan secara bersamaan oleh administrator. Dengan izin SETTINGS, pengguna dapat mengubah konfigurasi storage_folder. Sementara itu, izin ADD memungkinkan pengguna untuk menambahkan URL unduhan. Kombinasi ini menjadi fondasi utama dalam rantai serangan.

Eksploitasi dimulai dengan mengarahkan storage_folder ke direktori yang digunakan oleh sistem sesi Flask, yang secara default berada di jalur seperti /tmp/pyLoad/flask dalam deployment berbasis Docker. Jalur ini lolos dari mekanisme validasi karena tidak berada dalam direktori yang dibatasi seperti PKGDIR atau userdir. Validasi yang ada hanya memeriksa apakah path hasil realpath berada dalam dua direktori tersebut, sehingga direktori sesi Flask tetap dapat diakses.

Selanjutnya, penyerang menghitung nama file sesi yang akan ditargetkan. Sistem sesi Flask yang digunakan oleh pyLoad dikonfigurasi dengan SESSION_TYPE = "filesystem" dan memanfaatkan cachelib FileSystemCache untuk menyimpan sesi. File sesi disimpan menggunakan hash MD5 dari string yang menggabungkan prefix default "session:" dengan session_id. Dengan mengetahui pola ini, penyerang dapat menentukan nama file sesi yang valid secara deterministik.

Tahap berikutnya melibatkan pembuatan payload berbahaya menggunakan serialisasi Python melalui modul pickle. Payload ini dirancang untuk mengeksekusi perintah sistem ketika dide-serialisasi. Dalam contoh yang diuji, payload tersebut menulis hasil perintah id ke dalam file tertentu sebagai bukti eksekusi. File payload kemudian di-host oleh penyerang dan diunduh oleh pyLoad melalui mekanisme normal unduhan, yang menyimpannya ke direktori storage_folder yang telah dimanipulasi, yaitu direktori sesi Flask.

Yang membuat kerentanan ini semakin signifikan adalah tahap akhir eksploitasi yang tidak memerlukan autentikasi. Setelah file sesi berbahaya berhasil ditempatkan di direktori yang tepat, penyerang hanya perlu mengirimkan permintaan HTTP dengan cookie sesi yang sesuai. Ketika aplikasi memproses permintaan tersebut, Flask akan memuat file sesi berdasarkan session_id yang diberikan. Proses ini melibatkan deserialisasi menggunakan pickle.load(), yang secara langsung mengeksekusi payload berbahaya.

Hasil akhirnya adalah eksekusi kode arbitrer dengan hak akses proses pyLoad. Dalam pengujian yang dilakukan pada image Docker lscr.io/linuxserver/pyload-ng:latest, eksploitasi ini berhasil dijalankan dan menunjukkan bahwa penyerang dapat menjalankan perintah sistem, membaca variabel lingkungan, mengakses sistem file, dan berpotensi melakukan pivot ke sumber daya jaringan lain. Fakta bahwa trigger akhir tidak memerlukan autentikasi meningkatkan tingkat risiko secara signifikan.

Dari perspektif desain sistem, kerentanan ini menunjukkan kelemahan dalam pendekatan validasi path yang hanya berfokus pada pembatasan direktori tertentu tanpa mempertimbangkan direktori sensitif lain yang digunakan secara internal oleh aplikasi atau dependensinya. Dalam kasus ini, direktori sesi Flask menjadi target yang ideal karena file di dalamnya secara otomatis diproses oleh aplikasi.

Selain itu, penggunaan pickle untuk deserialisasi data yang tidak terpercaya merupakan praktik yang dikenal berisiko tinggi. Pickle tidak dirancang untuk keamanan dan dapat mengeksekusi kode arbitrer selama proses deserialisasi. Ketika digabungkan dengan kemampuan menulis file ke lokasi yang diproses otomatis, risiko eksploitasi meningkat secara drastis.

Sebagai langkah mitigasi, disarankan untuk menambahkan storage_folder ke dalam daftar ADMIN_ONLY_OPTIONS agar hanya dapat dimodifikasi oleh administrator. Alternatif lain adalah memperluas validasi path untuk mencegah penulisan ke direktori sementara yang secara otomatis dikonsumsi oleh aplikasi, termasuk direktori sesi Flask, cache bytecode Jinja, dan direktori sementara pyLoad. Perbaikan tambahan juga mencakup koreksi nama opsi konfigurasi yang sebelumnya salah, seperti ssl_cert dan ssl_key yang seharusnya menggunakan nama ssl_certfile dan ssl_keyfile.

Kasus ini menyoroti pentingnya pendekatan holistik dalam pengamanan aplikasi, terutama dalam sistem yang memungkinkan konfigurasi dinamis oleh pengguna. Kontrol akses yang tidak lengkap, validasi input yang terbatas, dan penggunaan mekanisme deserialisasi yang tidak aman dapat saling berinteraksi dan menciptakan jalur eksploitasi yang kompleks namun efektif.

Bagi praktisi keamanan dan developer, temuan ini menjadi pengingat bahwa kerentanan tidak selalu berasal dari satu kesalahan tunggal, melainkan dari kombinasi beberapa asumsi yang tidak divalidasi secara menyeluruh. Dalam konteks pyLoad, celah ini muncul dari interaksi antara kontrol akses, manajemen path, dan mekanisme penyimpanan sesi. Tanpa evaluasi menyeluruh terhadap bagaimana komponen-komponen ini saling berinteraksi, risiko seperti ini dapat dengan mudah terlewatkan.

Dengan semakin banyaknya aplikasi yang mengandalkan komponen pihak ketiga seperti Flask dan cachelib, pemahaman terhadap bagaimana komponen tersebut bekerja secara internal menjadi semakin penting. Kerentanan ini menunjukkan bahwa bahkan konfigurasi default yang tampak aman dapat menjadi titik lemah jika tidak dipertimbangkan dalam model ancaman secara menyeluruh.

References:

NVD-NIST

Github Rep

Kerentanan Kritis CVE-2026-5281 di Google Chrome: Bug Use-After-Free Picu Risiko Eksekusi Kode Jarak Jauh

Kerentanan baru dengan kode CVE-2026-5281 ditemukan pada browser populer Google Chrome, menyoroti kembali risiko serius yang dapat muncul dari kesalahan manajemen memori dalam perangkat lunak modern. Bug ini diklasifikasikan sebagai use-after-free, sebuah jenis kerentanan yang terjadi ketika program masih mencoba mengakses memori yang telah dibebaskan. Dalam konteks ini, celah tersebut berada pada komponen Dawn di Chrome dan berpotensi dimanfaatkan untuk eksekusi kode arbitrer oleh penyerang.

Berdasarkan informasi dari National Vulnerability Database (NVD), kerentanan ini memengaruhi versi Chrome sebelum 146.0.7680.178. Eksploitasi hanya dapat dilakukan jika penyerang telah lebih dulu berhasil mengompromikan proses renderer, yang merupakan bagian dari arsitektur sandbox Chrome yang bertugas menangani konten web. Setelah mendapatkan akses tersebut, penyerang dapat menyisipkan halaman HTML yang dirancang secara khusus untuk memicu kondisi use-after-free dan mengeksekusi kode berbahaya di sistem target.

Meskipun analisis resmi dari NVD terkait skor CVSS belum tersedia pada saat laporan ini ditulis, data dari sumber lain, termasuk Cybersecurity and Infrastructure Security Agency, memberikan gambaran tingkat keparahan yang signifikan. Skor CVSS v3.1 tercatat sebesar 8.8 dengan kategori High. Vektor serangan menunjukkan bahwa eksploitasi dapat dilakukan melalui jaringan tanpa memerlukan autentikasi, dengan kompleksitas rendah, namun tetap membutuhkan interaksi pengguna. Dampak dari kerentanan ini mencakup aspek kerahasiaan, integritas, dan ketersediaan sistem secara menyeluruh.

Secara teknis, kerentanan ini termasuk dalam kategori Common Weakness Enumeration dengan ID CWE-416, yang merujuk pada use-after-free. Jenis bug ini sering kali menjadi target eksploitasi tingkat lanjut karena dapat memungkinkan manipulasi memori secara langsung. Dalam banyak kasus, eksploitasi use-after-free digunakan sebagai langkah awal untuk mencapai remote code execution (RCE), terutama jika dikombinasikan dengan teknik bypass sandbox atau privilege escalation.

Yang menarik, eksploitasi terhadap CVE-2026-5281 tidak berdiri sendiri. Penyerang harus terlebih dahulu melewati lapisan perlindungan awal Chrome dengan mengompromikan renderer process. Ini menunjukkan bahwa serangan kemungkinan melibatkan rantai eksploitasi yang lebih kompleks, bukan sekadar satu celah tunggal. Namun demikian, setelah tahap awal ini berhasil, dampaknya bisa sangat signifikan karena memungkinkan kontrol penuh terhadap proses yang berjalan.

Kerentanan ini berdampak pada berbagai sistem operasi yang menjalankan Chrome, termasuk macOS, Linux, dan Windows. Hal ini menegaskan bahwa cakupan risiko tidak terbatas pada satu platform tertentu, melainkan bersifat lintas ekosistem. Pengguna individu, organisasi, hingga lingkungan enterprise yang mengandalkan Chrome sebagai browser utama berpotensi terdampak jika tidak segera melakukan pembaruan.

Sebagai respons terhadap temuan ini, vendor telah merilis pembaruan keamanan yang memperbaiki kerentanan tersebut pada versi 146.0.7680.178 dan yang lebih baru. Otoritas keamanan siber juga merekomendasikan agar pengguna segera mengaplikasikan patch yang tersedia. Dalam beberapa kasus, jika mitigasi tidak dapat diterapkan, langkah alternatif seperti menghentikan penggunaan produk menjadi pertimbangan, terutama dalam lingkungan dengan tingkat risiko tinggi.

Selain itu, CVE-2026-5281 juga telah masuk dalam daftar prioritas dengan tenggat waktu mitigasi yang relatif singkat, yakni hingga pertengahan April 2026. Ini menunjukkan bahwa kerentanan tersebut dianggap memiliki potensi dampak yang signifikan dan membutuhkan penanganan segera. Praktik terbaik yang disarankan mencakup penerapan patch, pemantauan aktivitas sistem, serta evaluasi terhadap kemungkinan adanya indikasi kompromi.

Dari perspektif keamanan yang lebih luas, kasus ini kembali menegaskan pentingnya pengelolaan memori yang aman dalam pengembangan perangkat lunak. Use-after-free bukanlah jenis kerentanan baru, namun tetap relevan dan berbahaya karena kompleksitasnya serta potensi eksploitasi yang tinggi. Dalam ekosistem browser modern yang menangani berbagai jenis konten dinamis, kesalahan kecil dalam pengelolaan resource dapat membuka celah besar bagi penyerang.

Bagi praktisi keamanan, CVE-2026-5281 memberikan contoh nyata bagaimana kerentanan pada layer rendah seperti manajemen memori dapat berdampak langsung pada keamanan pengguna akhir. Sementara itu, bagi developer, ini menjadi pengingat bahwa pendekatan defensif dalam pengelolaan memori, termasuk penggunaan bahasa pemrograman yang lebih aman atau penerapan mekanisme proteksi tambahan, menjadi semakin penting.

Dengan semakin meningkatnya kompleksitas aplikasi web dan browser, potensi munculnya kerentanan serupa kemungkinan akan tetap ada. Oleh karena itu, kombinasi antara pembaruan rutin, monitoring aktif, dan kesadaran terhadap ancaman menjadi kunci dalam mengurangi risiko eksploitasi di dunia nyata. CVE-2026-5281 bukan hanya sekadar bug teknis, tetapi juga refleksi dari tantangan berkelanjutan dalam menjaga keamanan perangkat lunak yang digunakan secara luas.

Indonesia Siapkan Strategi “Sign and Prepare” untuk Konvensi PBB Anti Kejahatan Siber

Pemerintah Indonesia melalui Kementerian Koordinator Bidang Politik dan Keamanan menggelar rapat koordinasi tingkat nasional guna menentukan arah kebijakan strategis terkait penandatanganan dan ratifikasi Konvensi Perserikatan Bangsa-Bangsa Melawan Kejahatan Siber atau UN Convention against Cybercrime. Pertemuan yang berlangsung di Bogor pada Kamis, 12 Maret 2026 ini menjadi bagian dari langkah pemerintah untuk memastikan posisi Indonesia dalam arsitektur tata kelola siber global tetap relevan dan berdaulat.

Rapat tersebut dipimpin oleh Adi Winarso selaku Asisten Deputi Koordinasi Kerja Sama Multilateral Kemenko Polkam. Dalam pembukaan, ia menegaskan bahwa Indonesia berada dalam posisi strategis secara diplomatik karena telah memainkan peran penting sebagai Rapporteur dalam Komite Ad Hoc PBB sejak 2019. Peran ini tidak hanya mencerminkan tingkat kepercayaan komunitas internasional, tetapi juga menempatkan Indonesia sebagai aktor kunci dalam proses perumusan norma global terkait kejahatan siber.

Menurut Adi, posisi tersebut membawa konsekuensi yang tidak ringan. Indonesia dihadapkan pada kebutuhan untuk segera menentukan sikap sebelum tenggat waktu penandatanganan konvensi berakhir pada 31 Desember 2026. Keterlambatan dalam mengambil keputusan dinilai dapat berdampak langsung terhadap posisi tawar Indonesia di tingkat global. Jika melewati batas waktu tersebut, Indonesia hanya dapat bergabung melalui mekanisme aksesi, yang secara praktis menempatkan negara sebagai penerima aturan yang telah ditentukan oleh pihak lain, bukan sebagai pihak yang ikut membentuknya.

Dalam konteks ini, Kemenko Polkam mengusulkan pendekatan kebijakan yang disebut sebagai strategi “Sign and Prepare”. Strategi ini dirancang sebagai solusi pragmatis untuk menyeimbangkan kebutuhan diplomasi internasional dengan kesiapan regulasi domestik. Melalui pendekatan ini, Indonesia akan melakukan penandatanganan konvensi sebagai bentuk komitmen politik di forum internasional sebelum akhir 2026, sembari memberikan waktu bagi kementerian dan lembaga terkait untuk menyelaraskan kerangka hukum nasional sebelum proses ratifikasi dilakukan.

Langkah harmonisasi regulasi menjadi salah satu isu krusial yang dibahas dalam rapat tersebut. Penyesuaian diperlukan agar ketentuan dalam konvensi internasional dapat diintegrasikan secara efektif ke dalam sistem hukum nasional. Hal ini mencakup sinkronisasi dengan Kitab Undang-Undang Hukum Pidana yang baru, Undang-Undang Pelindungan Data Pribadi, serta rencana revisi Kitab Undang-Undang Hukum Acara Pidana, khususnya dalam aspek pembuktian digital lintas yurisdiksi. Tantangan utama terletak pada bagaimana memastikan bahwa standar internasional dapat diadopsi tanpa mengorbankan prinsip kedaulatan hukum nasional.

Selain aspek hukum domestik, diskusi juga menyoroti dimensi geopolitik ruang siber yang semakin kompleks. Narasumber dari Kementerian Luar Negeri Republik Indonesia, termasuk perwakilan Direktorat Keamanan Internasional dan Perlucutan Senjata serta Direktorat Hukum dan Perjanjian Politik, Keamanan, dan Kewilayahan, memaparkan dinamika global yang memengaruhi pembentukan konvensi tersebut. Mereka menekankan bahwa ruang siber kini menjadi arena kompetisi kepentingan antarnegara, sehingga setiap keputusan yang diambil harus mempertimbangkan implikasi jangka panjang terhadap posisi Indonesia dalam ekosistem global.

Dalam pemaparan tersebut, dibahas pula prosedur hukum internasional yang harus ditempuh agar Indonesia dapat melakukan penandatanganan pada momentum strategis, termasuk di Markas Besar PBB di New York. Momentum ini dinilai penting tidak hanya dari sisi simbolik, tetapi juga sebagai sarana untuk memperkuat legitimasi Indonesia sebagai negara yang aktif berkontribusi dalam pembentukan norma global terkait keamanan siber.

Rapat koordinasi ini melibatkan berbagai pemangku kepentingan lintas sektor. Hadir dalam forum tersebut perwakilan dari sejumlah institusi strategis, termasuk Kejaksaan Agung Republik Indonesia, Mahkamah Agung Republik Indonesia, Badan Siber dan Sandi Negara, serta Badan Intelijen Negara. Selain itu, partisipasi juga datang dari aparat penegak hukum seperti Mabes Polri, serta lembaga pengawas dan regulator seperti PPATK dan OJK. Kehadiran berbagai pihak ini mencerminkan bahwa isu kejahatan siber tidak lagi terbatas pada domain teknis, melainkan telah menjadi persoalan lintas sektor yang mencakup aspek hukum, ekonomi, dan keamanan nasional.

Koordinasi lintas institusi menjadi kunci dalam memastikan bahwa kebijakan yang diambil bersifat komprehensif dan implementatif. Setiap lembaga memiliki perspektif dan kepentingan yang berbeda, mulai dari penegakan hukum, perlindungan data, hingga stabilitas sistem keuangan. Oleh karena itu, forum seperti ini menjadi ruang penting untuk menyatukan pandangan dan merumuskan langkah yang terintegrasi.

Hasil dari rapat koordinasi ini akan dirumuskan menjadi rekomendasi kebijakan yang akan disampaikan kepada menteri terkait oleh Menko Polkam. Rekomendasi tersebut diharapkan dapat menjadi dasar dalam pengambilan keputusan strategis pemerintah, khususnya dalam menentukan waktu dan mekanisme penandatanganan konvensi. Lebih jauh, langkah ini juga diharapkan mampu memastikan bahwa partisipasi Indonesia dalam konvensi tersebut benar-benar memberikan manfaat nyata bagi masyarakat.

Salah satu tujuan utama dari keterlibatan Indonesia dalam Konvensi PBB Melawan Kejahatan Siber adalah untuk meningkatkan kapasitas dalam menghadapi ancaman kejahatan transnasional. Fenomena seperti judi online, penipuan daring, dan berbagai bentuk kejahatan digital lainnya terus berkembang dengan memanfaatkan celah lintas batas negara. Tanpa kerja sama internasional yang efektif, penegakan hukum terhadap kejahatan semacam ini akan menghadapi kendala signifikan, terutama dalam hal yurisdiksi dan pertukaran bukti digital.

Namun demikian, pemerintah juga menekankan pentingnya menjaga keseimbangan antara penegakan hukum dan perlindungan hak asasi manusia. Setiap kebijakan yang diambil harus memastikan bahwa upaya pemberantasan kejahatan siber tidak mengorbankan kebebasan sipil dan privasi individu. Prinsip ini menjadi bagian integral dari posisi Indonesia dalam berbagai forum internasional, termasuk dalam pembahasan konvensi ini.

Di sisi lain, isu kedaulatan digital juga menjadi perhatian utama. Dalam konteks global yang semakin terhubung, negara-negara menghadapi tantangan untuk mempertahankan kontrol atas data dan infrastruktur digital mereka. Konvensi internasional seperti ini berpotensi memengaruhi bagaimana data lintas negara diakses dan digunakan, sehingga diperlukan kehati-hatian dalam menyusun komitmen internasional.

Dengan tenggat waktu yang semakin dekat, keputusan Indonesia terkait penandatanganan Konvensi PBB Melawan Kejahatan Siber akan menjadi indikator penting arah kebijakan nasional di bidang keamanan digital. Strategi “Sign and Prepare” yang diusulkan mencerminkan upaya untuk tidak hanya merespons tekanan waktu, tetapi juga memastikan bahwa setiap langkah yang diambil didasarkan pada kesiapan yang matang.

Ke depan, efektivitas implementasi kebijakan ini akan sangat bergantung pada konsistensi koordinasi antar lembaga serta kemampuan pemerintah dalam menerjemahkan komitmen internasional ke dalam regulasi yang operasional. Dalam lanskap ancaman siber yang terus berkembang, pendekatan yang adaptif dan berbasis kolaborasi menjadi faktor penentu dalam menjaga keamanan dan kedaulatan digital Indonesia.

CVE-2026-2699 dan CVE-2026-2701: Eksploitasi Kritis ShareFile Memungkinkan RCE Tanpa Autentikasi

Peneliti keamanan dari watchTowr Labs mengungkap rantai eksploitasi kritis yang menargetkan ShareFile Storage Zone Controller milik Progress Software, sebuah komponen on-premises yang banyak digunakan sebagai gateway berbagi file di lingkungan enterprise dan sektor yang diatur secara ketat. Temuan ini mengungkap dua kerentanan dengan dampak serius yang memungkinkan penyerang mendapatkan kontrol penuh atas server tanpa memerlukan autentikasi sama sekali.

Kerentanan tersebut dilacak sebagai CVE-2026-2699 dan CVE-2026-2701. Kombinasi keduanya membuka jalur eksploitasi yang memungkinkan Remote Code Execution (RCE) secara langsung, menjadikan sistem yang rentan sebagai target bernilai tinggi dalam lanskap ancaman saat ini.

Platform Managed File Transfer (MFT) dalam beberapa tahun terakhir telah menjadi sasaran utama bagi kelompok advanced persistent threat (APT) dan operator ransomware. Serangkaian insiden besar yang melibatkan solusi seperti MOVEit Transfer, Cleo Harmony, dan GoAnywhere MFT menunjukkan pola yang konsisten, di mana pelaku ancaman berfokus pada celah di gateway berbagi file sebagai pintu masuk awal ke jaringan perusahaan.

Dalam konteks ini, ShareFile Storage Zone Controller menjadi target yang sangat menarik. Diperkirakan terdapat sekitar 30.000 instance yang terekspos ke internet publik, menciptakan permukaan serangan yang luas. Sistem ini banyak digunakan oleh organisasi yang memiliki kebutuhan khusus terkait kedaulatan data atau kepatuhan regulasi, sehingga memilih deployment on-premises dibandingkan solusi cloud.

Komponen Storage Zone Controller berfungsi sebagai jembatan antara infrastruktur internal organisasi dengan antarmuka web ShareFile. Ia mengelola alur upload dan download file melalui jaringan internal, sehingga memiliki akses langsung ke data sensitif. Menariknya, kedua kerentanan yang ditemukan sepenuhnya berada pada komponen ini, sehingga deployment berbasis cloud tidak terdampak.

Rantai serangan dimulai dari celah pada panel konfigurasi administrator yang terletak di endpoint /ConfigService/Admin.aspx. Dalam kondisi normal, akses tanpa autentikasi ke endpoint ini akan menghasilkan redirect HTTP 302 ke halaman login sebagai mekanisme pengamanan standar.

Namun, peneliti menemukan kesalahan fatal dalam implementasi kode sumber berbasis C#. Pengembang diketahui mengirimkan parameter boolean bernilai false ke fungsi .Redirect(), yang menyebabkan server tidak menghentikan eksekusi halaman setelah mengirimkan redirect. Kondisi ini dikenal sebagai Execution After Redirect (EAR), sebuah kerentanan klasik namun tetap berbahaya jika tidak ditangani dengan benar.

Eksploitasi terhadap kelemahan ini relatif sederhana. Penyerang hanya perlu mencegat respons HTTP dan menghapus header Location sebelum browser memproses redirect. Dengan demikian, halaman administrator tetap dieksekusi dan ditampilkan sepenuhnya tanpa autentikasi. Hasilnya adalah akses administratif penuh terhadap sistem target.

Setelah mendapatkan akses administrator, tahap kedua eksploitasi memanfaatkan kelemahan dalam mekanisme konfigurasi penyimpanan file. Storage Zone Controller memungkinkan administrator menentukan lokasi direktori untuk menyimpan file yang diunggah. Sistem memang melakukan verifikasi terhadap kemampuan baca dan tulis pada path yang diberikan, tetapi tidak melakukan validasi apakah direktori tersebut aman atau sesuai dengan kebijakan aplikasi.

Ketiadaan validasi ini memungkinkan penyerang mengubah lokasi penyimpanan ke direktori web publik milik aplikasi, seperti C:\inetpub\wwwroot\ShareFile\StorageCenter\documentum. Dengan konfigurasi ini, setiap file yang diunggah akan langsung tersedia di webroot dan dapat diakses melalui browser.

Langkah berikutnya adalah mengunggah file ASPX berbahaya yang berfungsi sebagai web shell, namun disamarkan sebagai file biasa. Setelah file tersebut diunggah, penyerang cukup mengaksesnya melalui browser untuk mendapatkan kontrol jarak jauh penuh terhadap server. Dalam dua langkah sederhana—akses admin tanpa autentikasi dan upload file berbahaya—rantai eksploitasi berhasil diselesaikan.

Kedua kerentanan ini berdampak pada ShareFile Storage Zone Controller versi 5.x yang dibangun di atas framework ASP.NET. Peneliti mengonfirmasi keberadaan celah ini pada versi 5.12.3. Perbaikan telah dirilis oleh Progress Software dalam versi 5.12.4 pada 10 Maret 2026, meskipun tanpa pengumuman publik yang mencolok pada awalnya.

Dari perspektif operasional, kerentanan ini memiliki implikasi yang signifikan. Tidak hanya memungkinkan akses awal tanpa autentikasi, tetapi juga membuka jalur untuk eksekusi kode yang dapat digunakan untuk berbagai tujuan, mulai dari pencurian data hingga deployment ransomware. Mengingat posisi Storage Zone Controller dalam arsitektur jaringan, kompromi terhadap komponen ini dapat memberikan akses luas ke data internal organisasi.

Temuan ini juga memperkuat tren bahwa gateway file sharing dan MFT menjadi titik lemah yang terus dieksploitasi. Sistem-sistem ini sering kali berada di perbatasan antara jaringan internal dan eksternal, menjadikannya target ideal untuk mendapatkan foothold awal. Selain itu, kompleksitas konfigurasi dan kebutuhan integrasi dengan berbagai sistem lain meningkatkan risiko kesalahan implementasi.

Peneliti menekankan bahwa organisasi yang masih menjalankan versi rentan harus menganggap diri mereka berada dalam kondisi berisiko tinggi. Selain melakukan pembaruan ke versi terbaru, langkah respons insiden juga perlu dipertimbangkan, terutama jika sistem telah terekspos ke internet dalam waktu yang lama.

Pemantauan log server web menjadi salah satu indikator awal untuk mendeteksi aktivitas mencurigakan, khususnya permintaan yang menargetkan endpoint konfigurasi seperti /ConfigService/Admin.aspx. Selain itu, audit terhadap direktori webroot untuk mencari file ASPX yang tidak dikenal dapat membantu mengidentifikasi kemungkinan kompromi yang sudah terjadi.

Segmentasi jaringan juga menjadi faktor penting dalam membatasi dampak serangan. Dengan menempatkan gateway file on-premises di belakang aturan firewall yang ketat dan hanya mengizinkan akses dari host terpercaya, organisasi dapat mengurangi eksposur terhadap serangan langsung dari internet.

Kasus ini menunjukkan bagaimana kombinasi dua kelemahan yang tampak sederhana dapat menghasilkan dampak yang sangat besar ketika digabungkan dalam satu rantai eksploitasi. Lebih dari itu, ia menyoroti pentingnya validasi input dan kontrol alur eksekusi dalam pengembangan aplikasi, terutama pada komponen yang memiliki akses langsung ke data sensitif.

Dalam lanskap ancaman saat ini, kecepatan dalam menerapkan patch menjadi faktor krusial. Dengan adanya ribuan instance yang terekspos secara publik, jendela eksploitasi untuk aktor ancaman tetap terbuka selama sistem belum diperbarui. Situasi ini menempatkan organisasi dalam posisi yang rentan, terutama jika mereka mengandalkan sistem on-premises tanpa lapisan proteksi tambahan.

Eksploitasi terhadap ShareFile Storage Zone Controller menambah daftar panjang insiden yang melibatkan platform MFT. Pola yang muncul menunjukkan bahwa pelaku ancaman terus beradaptasi dan mencari celah di infrastruktur yang memiliki nilai strategis tinggi. Bagi tim keamanan, hal ini menuntut pendekatan yang lebih proaktif, tidak hanya dalam merespons kerentanan yang diketahui, tetapi juga dalam mengantisipasi bagaimana komponen kritis dapat disalahgunakan dalam skenario serangan nyata.

Teknik Baru Web Shell: Aktor Ancaman Sembunyikan Eksekusi Kode Lewat HTTP Cookie di Server Linux

Peneliti keamanan mengungkap pendekatan baru yang digunakan aktor ancaman dalam mempertahankan akses tersembunyi ke server Linux, dengan memanfaatkan HTTP cookie sebagai saluran kontrol untuk web shell berbasis PHP. Teknik ini dinilai meningkatkan tingkat stealth secara signifikan karena mampu menyamarkan aktivitas berbahaya di dalam lalu lintas web yang terlihat normal.

Temuan ini dipublikasikan oleh tim riset Microsoft Defender Security Research Team, yang menjelaskan bahwa metode ini menggeser paradigma eksekusi perintah dari parameter URL atau body request ke nilai cookie yang dikirimkan oleh penyerang. Dengan cara ini, web shell tidak lagi mengeksekusi perintah secara eksplisit dalam permintaan HTTP yang mudah dianalisis, melainkan hanya aktif ketika nilai cookie tertentu hadir.

Dalam praktiknya, cookie digunakan sebagai mekanisme gating yang menentukan kapan fungsi berbahaya dijalankan. Nilai yang dikirim melalui cookie berperan sebagai instruksi, pemicu, sekaligus parameter untuk eksekusi kode. Hal ini memungkinkan kode berbahaya tetap tidak aktif selama permintaan normal, dan hanya diaktifkan dalam interaksi yang disengaja oleh penyerang.

Pendekatan ini memberikan keuntungan operasional yang jelas. Cookie merupakan bagian standar dari komunikasi HTTP dan sering kali tidak dianalisis secara mendalam oleh sistem keamanan tradisional. Akibatnya, penggunaan cookie sebagai channel kontrol mampu mengurangi visibilitas aktivitas berbahaya dan meminimalkan indikator yang dapat terdeteksi oleh sistem monitoring maupun logging aplikasi.

Secara teknis, teknik ini memanfaatkan variabel superglobal $_COOKIE dalam PHP, yang secara otomatis menyediakan akses ke nilai cookie saat runtime tanpa memerlukan parsing tambahan. Ini memungkinkan input dari penyerang langsung diproses oleh aplikasi, menciptakan jalur eksekusi yang lebih sederhana namun sulit dilacak.

Peneliti mengidentifikasi beberapa variasi implementasi dari teknik ini. Dalam salah satu skenario, web shell bertindak sebagai loader yang sangat ter-obfuscasi, dengan beberapa lapisan perlindungan yang dirancang untuk menghindari analisis statis. Loader ini hanya akan memproses payload sekunder setelah melakukan serangkaian pemeriksaan terhadap nilai cookie yang diterima.

Pada implementasi lain, data yang dikirim melalui cookie dipecah menjadi beberapa segmen yang kemudian direkonstruksi oleh script PHP untuk membentuk fungsi operasional seperti manipulasi file atau decoding payload. Setelah direkonstruksi, script dapat menulis payload tambahan ke disk dan mengeksekusinya, tergantung pada kondisi tertentu yang ditentukan oleh nilai cookie.

Ada pula pendekatan yang lebih sederhana, di mana satu nilai cookie berfungsi sebagai penanda untuk mengaktifkan aksi tertentu, seperti menjalankan kode yang diberikan oleh penyerang atau mengunggah file ke server. Meskipun terlihat minimalis, metode ini tetap efektif karena mengandalkan mekanisme komunikasi yang sah dan sulit dibedakan dari aktivitas normal.

Salah satu temuan penting dalam laporan ini adalah bagaimana aktor ancaman mempertahankan persistensi di sistem target. Dalam setidaknya satu kasus, akses awal diperoleh melalui kredensial valid atau eksploitasi kerentanan yang sudah diketahui. Setelah masuk, penyerang mengatur cron job yang secara berkala menjalankan rutin shell untuk mengeksekusi loader PHP yang telah di-obfuscasi.

Arsitektur ini menciptakan mekanisme “self-healing”, di mana web shell dapat secara otomatis dibuat ulang oleh scheduled task meskipun telah dihapus oleh administrator atau sistem keamanan. Dengan demikian, penyerang tidak hanya memperoleh akses awal, tetapi juga memastikan keberlangsungan akses tersebut dalam jangka panjang tanpa perlu intervensi manual.

Setelah loader PHP terpasang, ia tetap tidak aktif selama lalu lintas normal. Aktivasi hanya terjadi ketika server menerima permintaan HTTP dengan cookie yang sesuai dengan pola yang telah ditentukan. Pemisahan antara mekanisme persistensi dan eksekusi ini secara efektif mengurangi noise operasional dan membuat aktivitas penyerang lebih sulit terdeteksi.

Pendekatan ini juga mencerminkan tren yang lebih luas dalam evolusi teknik pasca-kompromi, di mana aktor ancaman semakin memanfaatkan jalur eksekusi yang sah dalam sistem target. Alih-alih menggunakan exploit chain yang kompleks, mereka memanfaatkan komponen yang sudah tersedia seperti proses web server, panel kontrol hosting, dan infrastruktur cron untuk menjalankan kode berbahaya.

Kesamaan yang mengikat berbagai implementasi teknik ini adalah penggunaan obfuscation untuk menyembunyikan fungsi sensitif, serta mekanisme cookie-based gating untuk mengontrol kapan aksi dijalankan. Kombinasi ini menghasilkan jejak interaksi yang sangat minimal, sehingga menyulitkan proses deteksi berbasis signature maupun analisis perilaku sederhana.

Dari perspektif pertahanan, teknik ini menimbulkan tantangan baru bagi tim keamanan. Karena aktivitas berbahaya tidak terlihat dalam parameter URL atau body request, pendekatan inspeksi tradisional menjadi kurang efektif. Selain itu, penggunaan cookie sebagai channel kontrol mengaburkan batas antara trafik normal dan trafik berbahaya.

Untuk mengurangi risiko, Microsoft merekomendasikan sejumlah langkah mitigasi yang berfokus pada penguatan kontrol akses dan peningkatan visibilitas. Ini mencakup penerapan autentikasi multi-faktor pada panel hosting dan akses SSH, pemantauan aktivitas login yang tidak biasa, serta pembatasan eksekusi interpreter shell di lingkungan produksi.

Audit terhadap cron job dan scheduled task juga menjadi langkah penting, mengingat peran krusialnya dalam mempertahankan persistensi. Selain itu, organisasi disarankan untuk secara rutin memeriksa direktori web terhadap file yang mencurigakan serta membatasi kemampuan shell pada panel kontrol hosting.

Temuan ini menegaskan bahwa ancaman modern tidak selalu bergantung pada eksploitasi teknis yang kompleks. Dengan memanfaatkan mekanisme yang sah dan sering diabaikan seperti cookie HTTP, aktor ancaman mampu menciptakan jalur akses yang persisten dan sulit dideteksi.

Lebih jauh, penggunaan cookie sebagai mekanisme kontrol menunjukkan adanya reuse teknik yang telah matang dalam ekosistem web shell. Pendekatan ini tidak hanya meningkatkan stealth, tetapi juga memberikan fleksibilitas tinggi dalam mengendalikan sistem yang telah dikompromikan tanpa meninggalkan jejak yang mencolok.

Dalam konteks operasional, pergeseran ini mengharuskan organisasi untuk memperluas cakupan deteksi mereka, tidak hanya pada payload atau exploit, tetapi juga pada pola komunikasi yang tampak sah namun digunakan untuk tujuan berbahaya. Tanpa visibilitas yang memadai terhadap layer aplikasi dan interaksi HTTP secara menyeluruh, teknik semacam ini berpotensi lolos dari pengawasan dalam waktu yang lama.

Dengan semakin banyaknya teknik yang memanfaatkan fitur bawaan sistem sebagai vektor serangan, batas antara aktivitas normal dan aktivitas berbahaya menjadi semakin kabur. Dalam kondisi ini, pendekatan keamanan yang adaptif dan berbasis konteks menjadi krusial untuk mengidentifikasi ancaman yang tidak lagi bergantung pada indikator tradisional.

Operasi Siber TA416 Kembali Menargetkan Diplomasi Eropa, Gunakan Teknik Phishing OAuth dan Malware PlugX

Aktivitas siber yang dikaitkan dengan aktor ancaman berafiliasi China kembali meningkat di kawasan Eropa setelah periode relatif tenang selama hampir dua tahun. Sejak pertengahan 2025, kelompok yang dilacak sebagai TA416 dilaporkan kembali aktif menargetkan organisasi pemerintah dan misi diplomatik yang terkait dengan Uni Eropa dan NATO, dengan pendekatan serangan yang semakin adaptif dan kompleks.

Menurut laporan dari perusahaan keamanan siber Proofpoint, kampanye ini mencakup beberapa gelombang serangan yang memanfaatkan teknik web bug serta distribusi malware yang dirancang untuk mengumpulkan intelijen dari target bernilai tinggi. Aktivitas ini juga menunjukkan evolusi signifikan dalam rantai infeksi yang digunakan oleh pelaku, termasuk eksploitasi halaman verifikasi seperti Cloudflare Turnstile, penyalahgunaan mekanisme redirect OAuth, serta penggunaan file proyek C# untuk menjalankan payload berbahaya.

TA416 sendiri bukan entitas tunggal yang berdiri sendiri, melainkan bagian dari klaster aktivitas yang memiliki tumpang tindih dengan beberapa kelompok lain seperti DarkPeony, RedDelta, Red Lich, SmugX, UNC6384, dan Vertigo Panda. Selain itu, kelompok ini juga memiliki kesamaan teknis historis dengan klaster Mustang Panda, yang dalam berbagai laporan juga dikenal dengan nama CerenaKeeper, Red Ishtar, dan UNK_SteadySplit. Secara kolektif, aktivitas kelompok-kelompok ini sering dilacak dengan berbagai label seperti Earth Preta, Hive0154, hingga Twill Typhoon.

Kampanye terbaru TA416 terhadap Eropa sebagian besar berfokus pada pengumpulan informasi strategis melalui pendekatan rekayasa sosial yang dikombinasikan dengan malware tingkat lanjut. Salah satu teknik yang digunakan adalah web bug atau tracking pixel, yaitu elemen kecil yang disisipkan dalam email dan secara otomatis mengirimkan permintaan HTTP ke server penyerang ketika email dibuka. Teknik ini memungkinkan pelaku memperoleh data seperti alamat IP korban, user agent, serta waktu akses, yang kemudian digunakan untuk memverifikasi keberhasilan tahap awal serangan.

Dalam beberapa kasus yang diamati pada Desember 2025, TA416 menggunakan aplikasi cloud pihak ketiga berbasis Microsoft Entra ID untuk memulai redirect yang mengarah ke unduhan arsip berbahaya. Email phishing yang digunakan dalam kampanye ini mengandung tautan ke endpoint OAuth resmi milik Microsoft, yang secara sekilas tampak sah. Namun, setelah diklik, pengguna akan dialihkan ke domain yang dikendalikan penyerang sebelum akhirnya mengunduh malware.

Teknik ini memanfaatkan kepercayaan terhadap domain sah untuk melewati mekanisme pertahanan tradisional pada email dan browser. Praktik tersebut juga telah menjadi perhatian Microsoft, yang sebelumnya memperingatkan adanya kampanye phishing yang memanfaatkan redirect OAuth untuk menghindari deteksi sistem keamanan.

Evolusi lebih lanjut dalam rantai infeksi terdeteksi pada Februari 2026, ketika TA416 mulai memanfaatkan layanan penyimpanan cloud seperti Google Drive dan instance SharePoint yang telah dikompromikan. Arsip yang diunduh korban dalam skenario ini biasanya berisi executable MSBuild yang sah serta file proyek C# berbahaya. Ketika dijalankan, MSBuild secara otomatis mencari file proyek di direktori yang sama dan membangunnya, yang dalam kasus ini berfungsi sebagai downloader untuk mengambil komponen malware tambahan.

File proyek tersebut diketahui mendekode beberapa URL yang dienkripsi dalam format Base64, yang kemudian digunakan untuk mengunduh komponen DLL dari server yang dikendalikan penyerang. Teknik ini berujung pada eksekusi malware melalui metode DLL side-loading, yaitu dengan memanfaatkan executable sah untuk memuat library berbahaya tanpa terdeteksi oleh sistem keamanan.

Malware utama yang digunakan dalam kampanye ini adalah PlugX, sebuah backdoor yang telah lama dikaitkan dengan operasi spionase siber yang berafiliasi dengan China. PlugX dikenal karena kemampuannya dalam membangun komunikasi terenkripsi dengan server command-and-control (C2), serta melakukan berbagai fungsi seperti pengumpulan informasi sistem, eksekusi payload tambahan, hingga membuka reverse shell untuk kontrol jarak jauh.

Meski mekanisme dasarnya tetap konsisten, varian PlugX yang digunakan oleh TA416 terus diperbarui untuk menghindari deteksi. Selain itu, executable sah yang digunakan dalam proses DLL side-loading juga bervariasi dari waktu ke waktu, menunjukkan upaya berkelanjutan untuk meningkatkan stealth dan efektivitas serangan.

Selain Eropa, TA416 juga memperluas target operasinya ke kawasan Timur Tengah pada awal 2026. Aktivitas ini muncul setelah meningkatnya ketegangan geopolitik yang melibatkan Amerika Serikat, Israel, dan Iran. Menurut analisis, kampanye ini kemungkinan besar bertujuan untuk mengumpulkan intelijen regional terkait dinamika konflik tersebut, memperlihatkan bagaimana prioritas target kelompok ini sangat dipengaruhi oleh situasi geopolitik global.

Dalam konteks yang lebih luas, temuan ini sejalan dengan laporan dari Darktrace yang menunjukkan bahwa operasi siber yang terkait dengan China telah berevolusi secara signifikan dalam beberapa tahun terakhir. Jika sebelumnya serangan lebih berfokus pada tujuan strategis tertentu, kini pendekatan yang digunakan cenderung lebih adaptif dan berorientasi pada identitas, dengan tujuan membangun persistensi jangka panjang di dalam jaringan target.

Analisis terhadap kampanye antara Juli 2022 hingga September 2025 menunjukkan bahwa sebagian besar serangan melibatkan eksploitasi infrastruktur yang terekspos ke internet untuk mendapatkan akses awal. Organisasi di Amerika Serikat menjadi target utama, diikuti oleh sejumlah negara lain termasuk Italia, Spanyol, Jerman, dan Inggris. Namun, yang menjadi perhatian utama adalah kemampuan aktor untuk mempertahankan akses dalam jangka waktu yang sangat lama.

Dalam salah satu kasus yang diungkap, pelaku berhasil mengkompromikan suatu lingkungan dan mempertahankan persistensi, sebelum kembali aktif lebih dari 600 hari kemudian. Pola ini menunjukkan tingkat perencanaan dan kesabaran yang tinggi, serta menegaskan bahwa tujuan utama dari operasi semacam ini bukan sekadar akses jangka pendek, melainkan kontrol strategis dalam jangka panjang.

Kembalinya aktivitas TA416 ke Eropa setelah sebelumnya berfokus pada Asia Tenggara dan Mongolia menunjukkan adanya pergeseran prioritas intelijen yang signifikan. Dengan kombinasi teknik seperti phishing berbasis OAuth, penyalahgunaan layanan cloud, dan penggunaan malware canggih seperti PlugX, kampanye ini mencerminkan lanskap ancaman yang semakin kompleks dan sulit dideteksi.

Bagi organisasi pemerintah dan sektor publik, temuan ini menjadi pengingat bahwa ancaman tidak hanya datang dari eksploitasi teknis semata, tetapi juga dari penyalahgunaan mekanisme yang sah dan dipercaya. Pendekatan keamanan yang hanya berfokus pada perimeter tradisional menjadi semakin tidak memadai dalam menghadapi serangan yang memanfaatkan identitas, kepercayaan, dan interaksi pengguna sebagai vektor utama.

Seiring meningkatnya ketegangan geopolitik di berbagai kawasan, aktivitas kelompok seperti TA416 diperkirakan akan terus beradaptasi dan berkembang. Fokus pada diplomasi, kebijakan luar negeri, dan infrastruktur kritis menjadikan operasi ini tidak hanya sebagai ancaman teknis, tetapi juga sebagai bagian dari strategi intelijen yang lebih luas dalam persaingan globalL

Eksploitasi Kebocoran Claude Code: Repo GitHub Palsu Sebarkan Malware Vidar ke Pengguna yang Mencari Source Code

Kebocoran source code dari Claude Code, sebuah AI agent berbasis terminal yang dikembangkan oleh Anthropic, mulai dimanfaatkan oleh pelaku ancaman untuk menyebarkan malware. Insiden ini memperlihatkan bagaimana peristiwa kebocoran teknologi yang menarik perhatian publik dapat dengan cepat berubah menjadi vektor distribusi serangan siber yang efektif.

Claude Code sendiri merupakan agent berbasis AI yang dirancang untuk bekerja langsung melalui terminal. Sistem ini memungkinkan pengguna menjalankan tugas pemrograman secara otomatis, mengelola panggilan API berbasis model bahasa, berintegrasi dengan berbagai protokol seperti MCP, serta menyimpan konteks melalui memori persisten. Kemampuan tersebut menjadikannya alat yang cukup kuat dalam mendukung workflow developer, sekaligus meningkatkan risiko jika terjadi eksposur pada komponen internalnya.

Pada 31 Maret, Anthropic secara tidak sengaja mempublikasikan source code sisi klien Claude Code melalui sebuah file JavaScript source map yang ikut terunggah dalam paket npm. File tersebut berukuran sekitar 59,8 MB dan berisi lebih dari 513.000 baris kode TypeScript yang tidak di-obfuscate, tersebar dalam 1.906 file. Informasi yang terekspos mencakup logika orkestrasi agent, sistem eksekusi, pengaturan izin, detail build, hingga komponen internal yang berkaitan dengan keamanan.

Ketersediaan kode dalam bentuk yang terbuka dan mudah dianalisis membuatnya cepat diunduh oleh banyak pihak. Dalam waktu singkat, salinan kode tersebut beredar luas di GitHub dan difork ribuan kali. Distribusi masif ini menciptakan kondisi yang ideal bagi pelaku ancaman untuk menyisipkan konten berbahaya dengan menyamar sebagai bagian dari kebocoran tersebut.

Laporan dari perusahaan keamanan cloud Zscaler mengungkap bahwa pelaku memanfaatkan momentum ini dengan membuat repositori GitHub palsu yang mengklaim menyediakan versi bocoran Claude Code dengan fitur tambahan. Salah satu repositori yang teridentifikasi, dipublikasikan oleh pengguna dengan nama “idbzoomh,” mempromosikan dirinya sebagai versi yang telah “membuka fitur enterprise” tanpa batasan penggunaan.

Untuk meningkatkan visibilitas, repositori tersebut dioptimalkan agar muncul di hasil teratas mesin pencari, khususnya untuk kata kunci seperti “leaked Claude Code.” Strategi ini menargetkan pengguna yang penasaran atau ingin menganalisis kode sumber tersebut, termasuk developer, peneliti keamanan, hingga individu yang mencari keuntungan dari eksploitasi teknologi baru.

Pengguna yang mengakses repositori ini diarahkan untuk mengunduh sebuah arsip 7-Zip. Di dalamnya terdapat file executable berbasis Rust bernama ClaudeCode_x64.exe. Alih-alih berisi source code seperti yang dijanjikan, file ini berfungsi sebagai dropper yang akan menginstal malware Vidar ke dalam sistem korban.

Vidar merupakan malware jenis information stealer yang telah lama beredar dan dikenal karena kemampuannya mengumpulkan data sensitif dari perangkat yang terinfeksi. Malware ini biasanya menargetkan kredensial browser, cookie sesi, data dompet kripto, serta informasi login dari berbagai aplikasi. Dalam kampanye ini, Vidar didistribusikan bersamaan dengan GhostSocks, sebuah tool yang digunakan untuk memproksikan lalu lintas jaringan, memungkinkan pelaku mengakses sistem korban secara tidak langsung.

Peneliti dari Zscaler juga mencatat bahwa arsip berbahaya tersebut diperbarui secara berkala. Hal ini mengindikasikan bahwa pelaku terus mengembangkan metode distribusi mereka dan berpotensi menambahkan payload tambahan di masa mendatang. Dengan kata lain, kampanye ini bersifat dinamis dan dapat berevolusi seiring waktu.

Selain repositori utama, ditemukan pula repositori kedua dengan konten identik, namun menggunakan pendekatan distribusi yang sedikit berbeda. Pada saat analisis dilakukan, repositori ini menampilkan tombol “Download ZIP” yang tidak berfungsi. Peneliti menduga bahwa repositori tersebut dioperasikan oleh aktor yang sama sebagai bagian dari eksperimen untuk menguji strategi penyebaran yang paling efektif.

Kasus ini bukan pertama kalinya GitHub digunakan sebagai platform distribusi malware. Meskipun memiliki sistem keamanan yang cukup ketat, sifat terbuka dari platform tersebut membuatnya tetap rentan dimanfaatkan untuk menyebarkan kode berbahaya yang disamarkan sebagai proyek sah. Dalam beberapa kampanye sebelumnya, pelaku juga diketahui menargetkan peneliti pemula dan komunitas underground dengan repositori yang mengklaim menyediakan proof-of-concept untuk kerentanan terbaru.

Pola ini menunjukkan bahwa pelaku ancaman secara konsisten memanfaatkan tren atau peristiwa yang sedang ramai diperbincangkan. Kebocoran source code, kerentanan zero-day, atau rilis teknologi baru sering kali menjadi umpan yang efektif untuk menarik perhatian target. Dalam konteks ini, Claude Code menjadi contoh terbaru bagaimana eksposur informasi dapat dimonetisasi melalui serangan oportunistik.

Yang membuat situasi ini semakin kompleks adalah profil targetnya. Berbeda dengan kampanye phishing tradisional yang menyasar pengguna umum, operasi seperti ini secara spesifik menargetkan individu dengan latar belakang teknis. Developer, peneliti keamanan, dan praktisi IT cenderung lebih tertarik untuk mengunduh dan menganalisis source code yang bocor, sehingga meningkatkan peluang keberhasilan serangan.

Dari perspektif keamanan, insiden ini menegaskan pentingnya verifikasi sumber sebelum mengunduh atau mengeksekusi file, bahkan jika konteksnya berkaitan dengan riset atau eksplorasi teknis. Repositori yang tampak kredibel belum tentu aman, terutama jika memanfaatkan momentum viral untuk menarik perhatian.

Selain itu, kasus ini juga menyoroti risiko dari distribusi paket yang tidak sengaja menyertakan artefak sensitif seperti source map. Meskipun tidak secara langsung memberikan akses ke sistem backend, informasi yang terkandung di dalamnya dapat memberikan wawasan mendalam tentang cara kerja internal aplikasi, yang pada akhirnya dapat dimanfaatkan baik oleh peneliti maupun pelaku ancaman.

Dalam skala yang lebih luas, fenomena ini mencerminkan dinamika baru dalam ekosistem ancaman siber, di mana kecepatan penyebaran informasi menjadi faktor kunci. Waktu antara kebocoran dan eksploitasi semakin singkat, sering kali hanya dalam hitungan jam atau hari. Hal ini menuntut respons yang lebih cepat dari pengembang, platform distribusi, dan komunitas keamanan.

Kebocoran Claude Code dan eksploitasi yang mengikutinya menjadi pengingat bahwa setiap peristiwa besar dalam dunia teknologi hampir selalu diikuti oleh upaya penyalahgunaan. Bukan hanya kerentanan teknis yang menjadi target, tetapi juga perilaku manusia yang terdorong oleh rasa ingin tahu.

Dalam konteks ini, keamanan tidak hanya bergantung pada sistem, tetapi juga pada keputusan individu dalam berinteraksi dengan informasi yang tersedia. Tanpa pendekatan yang kritis, bahkan pengguna dengan latar belakang teknis pun dapat menjadi korban dalam skema yang dirancang dengan memanfaatkan momen yang tepat.